Beveiligingsonderzoekers van Armis hebben drie kwetsbaarheden onthuld in door APC beheerde ononderbroken stroomvoorzieningen waardoor de afstandsbediening van het apparaat kan worden overgenomen en gemanipuleerd, zoals het uitschakelen van de stroom naar bepaalde poorten of het gebruiken als springplank voor aanvallen op andere systemen. De kwetsbaarheden hebben de codenaam TLStorm en treffen APC Smart-UPS-apparaten (SCL-, SMX-, SRT-serie) en SmartConnect (SMT-, SMTL-, SCL- en SMX-serie).
De twee kwetsbaarheden worden veroorzaakt door fouten bij de implementatie van het TLS-protocol in apparaten die worden beheerd via een gecentraliseerde cloudservice van Schneider Electric. Apparaten uit de SmartConnect-serie maken bij het opstarten of verlies van verbinding automatisch verbinding met een gecentraliseerde cloudservice en een aanvaller zonder authenticatie kan kwetsbaarheden misbruiken en volledige controle over het apparaat krijgen door speciaal ontworpen pakketten naar UPS te sturen.
- CVE-2022-22805 - Een bufferoverloop in de pakkethermontagecode, die wordt uitgebuit bij het verwerken van inkomende verbindingen. Het probleem wordt veroorzaakt door het kopiëren van gegevens naar een buffer tijdens het verwerken van gefragmenteerde TLS-records. Het misbruik van het beveiligingslek wordt vergemakkelijkt door onjuiste foutafhandeling bij het gebruik van de Mocana nanoSSL-bibliotheek - na het retourneren van een fout werd de verbinding niet verbroken.
- CVE-2022-22806 - Authenticatie omzeilen tijdens het tot stand brengen van een TLS-sessie, veroorzaakt door een statusdetectiefout tijdens het onderhandelen over de verbinding. Door een niet-geïnitialiseerde nul-TLS-sleutel in de cache op te slaan en de foutcode te negeren die door de Mocana nanoSSL-bibliotheek werd geretourneerd toen een pakket met een lege sleutel arriveerde, was het mogelijk om zich voor te doen als een Schneider Electric-server zonder de sleuteluitwisselings- en verificatiefase te doorlopen.
De derde kwetsbaarheid (CVE-2022-0715) houdt verband met een onjuiste implementatie van het controleren van de gedownloade firmware voor updates en stelt een aanvaller in staat gewijzigde firmware te installeren zonder de digitale handtekening te controleren (het bleek dat de digitale handtekening van de firmware niet wordt gecontroleerd helemaal niet, maar gebruikt alleen symmetrische codering met een vooraf gedefinieerde sleutel in de firmware).
In combinatie met de CVE-2022-22805-kwetsbaarheid kan een aanvaller de firmware op afstand vervangen door zich voor te doen als een Schneider Electric-cloudservice of door een update te initiëren vanaf een lokaal netwerk. Nadat een aanvaller toegang heeft gekregen tot de UPS, kan hij een achterdeur of kwaadaardige code op het apparaat plaatsen, maar ook sabotage plegen en de stroom naar belangrijke consumenten afsluiten, bijvoorbeeld door de stroom af te sluiten naar videobewakingssystemen in banken of levensondersteunende apparaten in ziekenhuizen.
Schneider Electric heeft patches voorbereid om de problemen op te lossen en bereidt ook een firmware-update voor. Om het risico op compromissen te verkleinen, wordt bovendien aanbevolen om het standaardwachtwoord (“apc”) op apparaten met een NMC (Network Management Card) te wijzigen en een digitaal ondertekend SSL-certificaat te installeren, en om de toegang tot UPS op de firewall te beperken tot Alleen Schneider Electric Cloud-adressen.
Bron: opennet.ru